一名 22 岁的英国人在西班牙马略卡岛帕尔马被捕，据称该嫌疑人与 “Scattered Spider”黑客组织有关，涉嫌对 45 家美国公司发动的网络攻击负有责任。 该嫌疑人疑似为一网络犯罪团伙的头目，这一团伙专门从事从组织机构窃取数据和加密货币的活动，以不公布敏感数据为由进行敲诈勒索。 警方在公告中写道：“该团伙作案手法包括通过网络钓鱼技术获取个人访问凭证，接着利用凭证访问公司并攫取敏感信息，或访问受害者的加密货币钱包并将其接管。” 据调查人员称，该威胁组织利用上述计划窃取了价值2700万美元的加密货币。 联邦调查局收到国际逮捕令（OID）后，西班牙警方于 2024 年 5 月 31 日在帕尔马机场逮捕了这名网络罪犯，此时他正准备前往意大利那不勒斯。在逮捕过程中，他的笔记本电脑和手机交由法医调查人员进行检查以寻找罪证。 与 Scattered Spider 的联系 当局尚未透露嫌疑人所属威胁组织的详细信息，但 VX-Underground 在没有证据的情况下声称该嫌疑人为 “Tyler”，是臭名昭著的组织 Scattered Spider 的 SIM 卡交换专家。 Brian Krebs 报道称，据消息人士透露，”Tyler”又名 “tylerb”，经常出现在以 SIM 卡交换为主题的 Telegram 频道上。 Scattered Spider，又称 0ktapus 或 UNC3944，是一个以英语为沟通语言、组织结构松散且在不断演化的网络犯罪团伙，该团伙以使用社交工程、网络钓鱼、多因素身份验证（MFA）疲劳和 SIM 卡交换访问目标网络而闻名。 该团伙中的一些成员因参与以俄语为沟通语言的勒索软件团伙 BlackCat 而出名。 2023 年 9 月，据称 Scattered Spider 入侵了娱乐业巨头 MGM Resorts，部署了BlackCat/ALPHV 加密器并窃取了数据，对公司运营业务造成了严重干扰。 西班牙警方对该嫌疑人的网络活动、年龄和籍贯的描述与 Scattered Spider 成员的特征相符，嫌疑人发起网络攻击的策略也与该威胁组织的相关策略相似。但二者间的联系尚未正式确定。   消息来源：bleepingcomputer，译者：lune；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

CISA 将该 CVE 添加到其已知被利用的漏洞目录中，但到目前为止，大多数受感染主机都在中国被发现。 据 Censys 的一篇博客文章称，研究人员周五警告称，PHP 编程语言中的一个严重漏洞正受到越来越多的利用，因为 TellYouThePass 勒索软件组织正在瞄准易受攻击的网站。 该漏洞被列为CVE-2024-4577，自 6 月 7 日起就一直受到该威胁组织的攻击，截至周四，已观察到约 1,000 台受感染主机 — 它们主要位于中国。截至 6 月 10 日，观察到的感染数量已从约 1,800 台下降。 美国网络安全和基础设施安全局于周三将 CVE-2024-4577 添加到已知利用的漏洞目录中。 Devcore 最初发现了参数注入漏洞，其 CVSS 评分为 9.8，可允许攻击者实现远程代码执行。未经身份验证的攻击者可以绕过之前针对CVE-2012-1823的保护。 Imperva 的研究人员首先检测到了为利用该漏洞而部署的 TellYouThePass 勒索软件。这种特定的勒索软件至少从 2019 年就已经存在，之前曾利用过 Apache Log4j 中的漏洞CVE-2021-44228和 Apache ActiveMQ 中的漏洞CVE-2023-46604。 据 Censys 称，勒索软件目前正在针对其发现的任何存在漏洞的 PHP 服务器进行攻击。 “这可能会影响到广泛的用户，从个人网站维护者到企业网站。”Censys 安全研究员 Himaja Motheram 说。“攻击者似乎正在大规模扫描互联网，而不是针对任何特定组织。” 目前对美国的直接影响有限，因为美国被入侵的主机数量在周二达到峰值 39 台，而截至周一中国被入侵的主机数量最高为 962 台。 Palo Alto Networks的研究人员证实，截至 6 月 11 日，他们也发现了活跃的攻击活动。 PHP 于 6 月 6 日发布了修补版本，包括8.3.8、8.2.20 和 8.1.29。   转自会杀毒的单反狗，原文链接：https://mp.weixin.qq.com/s/k7XCRxrxBRcIN6_e0M9OSw 封面来源于网络，如有侵权请联系删除

据观察，攻击者利用 PHP 中的一个关键远程执行漏洞入侵服务器并部署恶意软件，该恶意软件是 TellYouThePass 勒索软件活动的一部分。 Imperva Threat Research 公司在6月10日的一篇博文中表示，公司于6月8日，即PHP维护者发布补丁后的一两天，就发现了攻击者利用高严重性PHP漏洞（CVE-2024-4577）的情况。 PHP 是一种免费、开源的服务器端脚本语言，用于创建动态网页。超过 75% 的网站都使用 PHP 进行服务器端编程。 Imperva 的研究人员表示，由于许多类型的企业都依赖 PHP 安装来运行网站，而攻击者一旦入侵就很容易横向移动，因此安全团队应立即打补丁。 自2019年以来，TellYouThePass勒索软件一直很活跃，频繁针对Windows和Linux系统的企业和个人发动攻击。该勒索软件因利用 Apache Log4j 漏洞 CVE-2021-44228 而闻名，也有报道称它利用了 CVE-2023-46604。 Keeper Security 公司联合创始人兼首席执行官 Darren Guccione 解释道，大多数安全团队都非常清楚，网络犯罪分子会密切关注公开披露的信息和概念验证版本，以便迅速利用任何他们可以轻松攻击的漏洞。网络犯罪分子的目标是利用未修补的 PHP 安装（存在CVE-2024-4577等漏洞），未经授权地访问系统。 “该勒索软件一旦进入系统，就会利用横向移动的方式，侵入其他系统并寻找有价值的数据，”Guccione 说。“为了防御 TellYouThePass 勒索软件等漏洞的攻击，安全团队必须在新的安全更新发布后立即应用，以最大限度地减少攻击者的机会窗口。” ColorTokens 公司副总裁兼 CISO 顾问 Agnidipta Sarkar 补充说，表面来看我们只需打上补丁，但这是有风险的。 PHP 是最流行的服务器端脚本语言之一，被用于创建动态网页和复杂的应用程序。一些实时部署了基于 PHP 的应用程序的企业，特别是对安全关注较少、或是没有在临时环境中快速修补PHP漏洞计划的企业，都会受到攻击。   消息来源：scmagazine，译者：lune；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

据称，“Akira ”勒索软件的目标是位于德国的 E-T-A Elektrotechnische Apparate GmbH 公司。该勒索软件团伙声称窃取了 24 千兆字节的敏感资料，包括客户信息、保密协议（NDA）、财务记录和员工个人信息。 为了证实这些说法，该黑客附上了一张包含以上信息的截图。 E-T-A 拥有六家生产工厂，业务遍及全球 60 个国家。公司的产品范围包括众多行业必不可少的电气保护解决方案，同时以生产断路器、电子电路保护器和其他各种电子元件而闻名。 尽管勒索软件组织声称已成功窃取信息，但该公司官方网站似乎仍在正常运行，也没有任何异常迹象。为进一步核实 Akira 对 E-T-A 的网络攻击是否属实，The Cyber Express 团队联系了 E-T-A ，要求其发表官方声明。 但截至发稿时，The Cyber Express 尚未收到该公司的回复。E-T-A 官方也没有确认或否认这一事件，所以勒索软件的说法无法得到证实。 Akira 勒索软件此前跟踪记录 Akira勒索软件团伙对主要集中在欧洲、北美和澳大利亚的中小型企业（SMB）构成了威胁，他们经常非法访问公司的VPN。 Sophos X-Ops 研究表明，Akira 经常使用泄露的登录凭证或是利用 VPN 技术的弱点，如 Cisco ASA SSL VPN 或 Cisco AnyConnect。 2024 年 5 月，Akira 对一家著名的木工店 Western Dovetail 发起攻击。2024 年 4 月，Akira 确认对北美、欧洲和澳大利亚的企业和关键基础设施发了一系列网络攻击。 据 FBI 称，自 2023 年 3 月以来，Akira 已入侵了 250 多家公司，收取了约 4200 万美元的赎金。Akira 最初的攻击目标是 Windows 系统，后来逐步扩大为 Linux 计算机，这一变化引起了国际网络安全机构的担忧。 这些网络攻击事件表明，Akira 的策略是针对各行各业不同规模的企业，通常会造成重大运营中断和经济损失。 从目前的情况来看，关于 Akira 勒索软件组织对 E-T-A 实施网络攻击的指控缺乏事实依据。由于该公司没有做出官方回应，因此这些说法并不能被证实。尽管该公司的网站仍在运行，但数据泄露可能会造成严重后果，危及客户保密性、财务完整性和员工隐私。   消息来源：thecyberexpress，译者：lune；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

由于第三方提供商遭受勒索软件攻击，医疗专业人员无法获得病理学服务，伦敦几家最大的医院取消了手术，并宣布进入重大事件紧急状态。 病理学和诊断服务提供商 Synnovis 遭受勒索软件攻击，严重影响伦敦几家大型医院的运营。此次攻击迫使受影响的医院取消部分医疗服务，在某些情况下，患者被转至其他医院。 根据社交媒体上发布的报道和内部电子邮件，此次攻击于周一被发现。 盖伊和圣托马斯 NHS 基金会信托的首席执行官伊恩·埃布斯写道：“我可以确认，我们的病理学合作伙伴 Synnovis 今天早些时候经历了一次重大 IT 事故，该事故仍在继续，意味着我们目前无法连接到 Synnovis IT 服务器。” 据信，英国最大的心脏和肺部专科中心皇家布朗普顿医院和哈里菲尔德医院也受到了影响。阿布斯写道，此次事件还影响了国王学院医院 NHS 基金会“以及整个伦敦东南部的初级保健，对我们服务的提供产生了重大影响，输血尤其受到影响。” 由于此次事件，一些预约已被取消，或患者被临时转至其他医疗机构。额外患者给其他医院带来的负担可能会导致资源进一步紧张，并宣布更多紧急事件。目前尚不清楚此次中断将持续多久。 伦敦 NHS 发表了关于 Synnovis 勒索软件攻击的声明，证实该事件对盖伊医院和圣托马斯医院、伦敦国王学院医院 NHS 基金会信托以及伦敦东南部初级保健服务的服务产生了重大影响。 目前，该公司尚未提供有关此次攻击的详细信息，例如感染其系统的恶意软件家族以及是否遭受数据泄露。 4月，SYNLAB集团意大利分公司Synlab Italia因遭受Blackbasta网络攻击而陷入停顿。该公司暂停了意大利采样点、医疗中心和实验室的所有活动。   转自会杀毒的单反狗，原文链接：https://mp.weixin.qq.com/s/2UiW_FwgnxmnVI9guwVDqw 封面来源于网络，如有侵权请联系删除

微软已将此前追踪的朝鲜黑客组织Moonstone Sleet与勒索软件FakePenny的网络攻击联系起来，该组织提出了数百万美元的勒索要求。 尽管该威胁组织的战术、技术和程序（TTPs）在很大程度上与其他朝鲜攻击者重叠，但他们也在持续采用新颖的攻击方法，使用自主开发的基础设施和工具。 此前追踪的Moonstone Sleet组织Storm-17已被观察到使用木马化软件（例如PuTTY）、恶意游戏和npm软件包、自定义恶意软件加载器，以及虚假的软件开发公司（如StarGlow Ventures和C.C. Waterfall）对金融和网络间谍目标进行攻击。他们通过LinkedIn、Telegram、自由职业网络或电子邮件与潜在受害者互动。 微软表示：“在首次检测到Moonstone Sleet活动时，我们发现该组织与Diamond Sleet表现出很大的重叠性。该组织重复使用已知的Diamond Sleet恶意软件（如Comebacker）的代码，并使用成熟的Diamond Sleet技术获取对组织的访问权限，例如通过社交媒体传递木马化软件。” “然而，Moonstone Sleet很快转变为使用自主开发的基础设施和攻击方式。随后，微软观察到Moonstone Sleet和Diamond Sleet同时行动，其中Diamond Sleet仍在大量使用此前已知的成熟技术手段。” Moonstone Sleet PuTTY 攻击流程 朝鲜黑客与勒索软件相关 在黑客入侵受害者网络的两个月后，即今年四月，我们首次发现黑客部署了新的定制 FakePenny 勒索软件变种。 然而，与之前朝鲜国家黑客协调的勒索软件攻击不同，此前受害者被朝鲜黑客要求支付10万美元的赎金，而Moonstone Sleet攻击者要求支付660万美元的比特币。 微软对此次攻击的评估结论为：Moonstone Sleet部署勒索软件的主要动机是获取经济利益。而此前该组织参与的网络间谍攻击也表明，他们的攻击旨在创收和收集情报。 自首次观察到该组织的行动以来，Moonstone Sleet已针对多个行业发起攻击，包括软件和信息技术、教育以及国防工业基地部门的个人和组织。 FakePenny 勒索软件的留言截图 Moonstone Sleet并不是近年来第一个与勒索软件攻击有关联的朝鲜黑客组织。此前，美国和英国政府正式将 2017 年 5 月勒索软件 WannaCry 危害全球数十万台电脑这一事件归咎于 Lazarus Group。 2022年7月，微软和FBI也分别将朝鲜黑客与勒索软件Holy Ghost的行动、勒索软件Maui针对医疗机构的攻击联系起来。 微软补充道：“Moonstone Sleet 的各种战术之所以引人注目，不仅是因为它们十分有效，还因为它们是从其他朝鲜黑客多年来为实现朝鲜网络目标而开展的活动中演变而来的。” “此外，Moonstone Sleet 效仿另一朝鲜黑客 Onyx Sleet 将勒索软件加入其战术库，这表明该组织可能正在加强自己的能力来实现一些破坏性行动。”   消息来源：bleepingcomputer，译者：lune；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

佳士得拍卖行确认遭遇数据泄露攻击，原因是一个勒索软件组织周一威胁要泄露从该公司窃取的数据。 本月初，佳士得网站下线，该公司当时称这是“技术安全事件”。此次网络攻击发生时，佳士得拍卖行正准备拍卖价值约 8.4 亿美元的收藏品。虽然此次事件导致潜在买家无法在佳士得网站上查看拍卖品，但人们仍然可以进行竞标。 佳士得是一家拥有250年历史的英国艺术品及奢侈品拍卖行，是全球最富有的拍卖行之一。佳士得去年通过销售艺术品和奢侈品赚取了超过 60 亿美元，此前该公司曾以创世界纪录的 4.5 亿美元价格将列奥纳多·达芬奇的画作《救世主》卖给了一位沙特王子。 佳士得数据泄露事件是RansomHub这一相对较新的勒索软件组织所发起攻击的结果。 该网络犯罪组织于 2024 年 2 月出现，并因开始泄露据称从医疗保健交易处理商 Change Healthcare 窃取的数据而成为最近几周的新闻头条。 RansomHub 于周一在其基于 Tor 的泄密网站上列出了佳士得以及其他一些组织的名单。 该网络犯罪分子声称从拍卖行窃取了 2 GB 的数据，并威胁说如果不支付赎金，他们将在一周内公开这些数据。 RansomHub 勒索软件组织声称窃取了“全球至少 50 万名佳士得拍卖行私人客户”的“敏感个人信息”。 黑客发布的截图显示，他们已经获得一个包含姓名、出生日期、地址、国籍等个人信息以及护照等身份证明文件数据的数据库。 “我们试图与他们达成合理的解决方案，但他们中途停止了沟通。”RansomHub勒索软件组织表示。“很明显，如果发布这些信息，他们将受到 GDPR 的巨额罚款，同时也会毁掉他们在客户心目中的声誉，他们根本不关心客户的隐私。” 佳士得发表声明称，公司本月初遭遇了一起技术安全事故，并迅速采取行动保护系统，包括关闭其网站。 “我们的调查发现，第三方未经授权访问了佳士得的部分网络。他们还发现，事件背后的组织窃取了我们部分客户的少量个人数据。没有证据表明任何财务或交易记录遭到泄露。”佳士得的一位发言人表示。 佳士得发言人补充道：“佳士得目前正在通知隐私监管机构、政府机构，并且正在与受影响的客户进行沟通。”   转自会杀毒的单反狗，原文链接：https://mp.weixin.qq.com/s/9L_y-acjS_QOvPqSX3BFCA 封面来源于网络，如有侵权请联系删除

数周前被FBI查封的勒索软件泄露数据交易暗网站点BreachForums，如今再次上线。 本周二，BreachForums重新开放注册，由早期的管理员之一ShinyHunters掌控。 5月15日，BreachForums网站和其Telegram频道被查封，两者均显示“现在由FBI控制”的警告。此外，FBI还在BreachForums网站上展示了其管理员Baphomet和ShinyHunters的头像被关在监狱里的图片，许多信息安全观察人士因此认为他们都已被逮捕。 但ShinyHunters团队声称自己毫发无损，并炫耀称其成员没有任何人被捕。 据Hackread.com的报道，ShinyHunters在FBI查封后的第二天重新获得了对BreachForums网站和一个新的暗网域名的访问权。 与此同时，美国司法部或FBI都没有发布关于查封BreachForums的官方声明——这与过去几年高调打击网络犯罪的行事风格不同。FBI也拒绝对之前的查封或BreachForums的重新发表评论。 BreachForums是2022年关闭的RaidForums的替代品，上线至今一直是最令警方头痛的暗网市场。 FBI曾于2023年6月查封了早期版本的BreachForums。其前管理员Conor Brian Fitzpatrick（又名“Pompourin”）被捕，并于今年1月被判处20年监督释放。然而，该网站卷土重来，这次由不同的管理员掌控，但仍然充当勒索软件经纪人。 “BreachForums的重组并不令人意外，”前FBI特工、现任BlueVoyant全球专业服务负责人Austin Berglas表示。 “完全捣毁一个在线有组织犯罪集团极其困难。要确保所有有访问权限的人员都被拘留和离线，识别并查封关键基础设施，包括摧毁整个犯罪组织的金融、技术和通信网络。” “尽管执法部门可能查封主要域名和相关服务器，但可能存在未识别的备份服务器和域名，必要时可以启用，或者之前未识别的个人可能拥有行政或技术访问权限，可以在查封或关闭后使用。”Berglas补充道。   转自GoUpSec，原文链接：https://mp.weixin.qq.com/s/EonbSdqw0qrrUV2Xy-DXOA 封面来源于网络，如有侵权请联系删除

每年负责 150 亿笔医疗保健交易的Change Healthcare公司估计，尽管支付了 2200 万美元的赎金，但在 2 月份的网络攻击中，三分之一的美国人（约 1.12 亿）的个人健康和身份信息被盗。 Change Healthcare尚未确定或联系数据遭到泄露的具体个人；与该公司签约的医疗服务提供商现在才看到其财务运营恢复正常。 圣玛丽山区医院、西部家庭健康中心、社区医院和科罗拉多州大章克申市退伍军人事务医疗中心均证实，他们与 Change 签订了合同，并受到系统中断的影响。 Family Health West 首席执行官兼总裁 Korrey Klein 医学博士表示：“坏人可能掌握的信息非常可怕。更糟糕的是，如果涉及到圣玛丽医院、社区和 Family Health West，任何在梅萨县接受过医疗服务的人都可能受到这种泄露的影响。” 根据美国医院协会 (AHA) 的数据，Change 是 UnitedHealth Group 的子公司，负责处理三分之一的患者记录。Klein 博士表示，Change 的医疗索赔流程通常包含患者的姓名、地址、出生日期、社会安全号码和雇主；如果索赔有共付额，它还可能包含患者的保险 ID 和金融机构信息。 除了获取敏感信息外，勒索软件还阻止医疗服务提供商使用 Change 软件接收付款和提交医疗索赔。提交医疗索赔对于服务提供商让保险公司报销患者费用至关重要。 袭击发生十二周后，梅萨县受影响的医院报告称，他们以电子方式提交索赔的能力已与大多数其他系统一起恢复。 损害控制 UnitedHealth Group （联合健康集团）首席执行官安德鲁·威蒂本月初在众议院小组委员会面前作证称，网络犯罪分子可能掌握约三分之一美国人的健康数据；该公司以比特币支付了 2200 万美元的赎金，但无法确定此次黑客攻击的 BlackCat 勒索软件组织是否会遵守协议。 联合健康集团于 4 月底发布声明，解释称由于数据复杂，数月内无法向特定个人提供援助。不过，联合健康集团已建立了呼叫中心和网站，提供信用监控和身份盗窃保护。 Klein 博士表示，鉴于情况的严重性，应该尽早通知患者，因此 Family Health West 承担了这项任务。 “尽管通知不是我们的责任，但我们会通知过去三年内接受过 Family Health West 医疗服务的任何人。”Klein 说道。“我们不知道他们是否收集了当前信息、过去信息，或者根本没有收集（任何）信息，但我们认为最好主动为患者提供信息。” 据社区医院通讯主管凯伦·马索夫 (Karen Martsolf) 称，在 2 月份网络攻击发生后不久，他们就向患者发送了一封有关该攻击的信件。 社区医院首席执行官兼总裁克里斯·托马斯表示：“虽然我们受到了社区医院外发生的这次网络攻击的影响，但我们将继续致力于保护我们的组织和患者免受这些外部威胁。” 美国退伍军人事务部部长丹尼斯·麦克多诺 (Denis McDonough) 在四月底的新闻发布会上表示，全国退伍军人事务部已向 1500 多万退伍军人发送了电子邮件，告知他们信息泄露的可能性，并提供了由变革医疗机构、联邦贸易委员会和退伍军人事务部本身提供的防欺诈资源和建议。 “几周以来，我们一直在敦促 Change 提供更多信息。”麦克多诺说。“如果我们确实得知退伍军人的个人信息已被泄露，我们将迅速采取行动，减轻影响，并为受影响的退伍军人提供全力支持。但要明确的是，我们不会等待确认后再与退伍军人沟通此事。” 深远的财务影响 根据联合健康集团最新的财务披露，此次网络攻击已造成约 8.7 亿美元的损失；联合健康集团首席财务官约翰·雷克斯估计，到今年年底，此次事件可能给公司造成 14 亿至 16 亿美元的损失。 这种勒索软件攻击还对全国许多医疗机构和服务提供商造成了显著的经济损失：AHA 在 3 月 9 日至 3 月 12 日期间对近 1,000 家医院进行了调查，发现 82% 的医院报告其现金流受到影响，其中近 60% 的受访者表示其每日收入受到超过 100 万美元的影响。 尽管医院没有受到直接攻击，但受影响的主要原因是勒索软件阻止提供商通过 Change 软件处理索赔。因此，提供商必须手动填写索赔单并将其发送给保险公司，克莱恩说这说起来容易做起来难。 “如果索赔是针对手术的，账单上可能会有 100 行信息。”Klein 说。“所有这些都必须手动输入到保险公司的网站上——每个病人、每次就诊。 “我们无法手动处理通常发出的大量索赔，因此索赔案件开始堆积，我们的现金开始减少。幸运的是，我们有足够的现金储备，所以我们知道我们最终会得到赔偿。这只是需要多长时间的问题。”     转自会杀毒的单反狗，原文链接：https://mp.weixin.qq.com/s/f51flEf2Cv4eIXbfO-p-7A 封面来源于网络，如有侵权请联系删除

5月21日，LockBit 勒索软件团伙声称他们是四月份针对加拿大药房连锁店伦敦药房网络攻击的幕后黑手，并威胁将在谈判失败后公开被盗数据。 伦敦药房在加拿大阿尔伯塔省、萨斯喀彻温省、曼尼托巴省和不列颠哥伦比亚省的80多家门店中拥有超过9000名员工，主要提供医疗保健和药房服务。 4月28日的一次网络攻击迫使伦敦药房关闭了在加拿大西部的所有零售店。该公司表示，没有发现客户或员工数据受到影响的证据。 “如果我们的调查表明有任何一个人的信息被泄露，我们会根据隐私法通知受影响的人和相关隐私专员，”该药房连锁店表示。 5月9日，伦敦药房的总裁兼首席运营官（COO）Clint Mahlman再次确认，受雇进行取证调查的第三方网络安全专家未发现“含健康数据和LDExtras数据的客户数据库”被泄露的证据。 虽然伦敦药房已经重新开放了此前关闭的门店，但公司网站仍然无法访问，且显示错误信息：“服务器遇到内部错误，无法完成请求。” 昨天早些时候，LockBit 勒索软件组织将伦敦药房添加到其勒索门户网站，声称对4月份的网络攻击负责，并威胁要公开据称从该公司系统中窃取的数据。 伦敦药房被列入 LockBit 勒索网站 该勒索软件团伙尚未提供任何证据来证明从伦敦药房的服务器中窃取了文件，只声称与伦敦药房关于支付2500万美元赎金的谈判失败。 尽管伦敦药房并未确认 LockBit 的说法，但在它与 BleepingComputer 分享的一份声明中表示，伦敦药房知道该勒索软件团伙声称窃取了“可能包含员工信息的公司总部文件”——如上图所示，LockBit 仅提到“被盗数据”。 伦敦药房补充道，他们不会也无法支付 LockBit 要求的赎金，但承认该团伙“可能会在暗网上泄露窃取的伦敦药房公司文件，其中一些文件可能包含员工信息”。 “在目前的调查阶段，我们无法提供可能受影响员的工个人信息性质或受影响程度的具体信息。我们的审查正在进行中，但由于这次网络事件造成了系统损坏，我们预计这项审查将需要一些时间，”伦敦药房表示。 “出于极度谨慎的考虑，我们已主动通知所有现任员工。无论最终是否发现他们的数据被泄露，我们都提供了24个月的免费信用监控和身份盗用保护服务。” LockBit勒索软件的兴起与衰落 该勒索软件即服务（RaaS）运营于2019年9月以ABCD的身份首次出现，后来改名为LockBit。 自从它出现以来，LockBit声称对全球许多政府和知名组织发动了攻击，包括波音、大陆汽车巨头、意大利国家税务局、美国银行和英国皇家邮政。 2024年2月美国悬赏 1500 万美元寻找 LockBit 勒索软件团伙的信息 ，同时执法部门发布了”克罗诺斯行动”，摧毁了LockBit的基础设施，没收了34台服务器，其中包含超过2500个解密密钥，这些密钥有助于创建一个免费的LockBit 3.0黑色勒索软件解密工具。 根据扣押的数据，美国司法部和英国国家犯罪局估算道，在2022年6月至2024年2月期间，LockBit在全球范围内发动了7000次攻击，勒索金额在5亿至10亿美元之间。 LockBit域名被扣押的截图 然而，LockBit目前仍然保持活跃，并已迁移到新的服务器和暗网域名。它以报复最近被美国和英国当局摧毁的基础设施为由，持续对全球范围内的受害者发动攻击，并释放大量新旧数据。 LockBit声称他们是伦敦药房网络攻击的幕后黑手，此前，另一次国际执法行动将该勒索软件团伙的领导人公之于众，该领导人为使用“LockBitSupp”化名的31岁俄罗斯国籍人士Dmitry Yuryevich Khoroshev。 目前，美国国务院提供了一笔高达1000万美元的奖金，用于奖励提供有助于LockBit领导人被捕或定罪的信息，同时额外提供了500万美元的奖金，用于奖励任何可能导致LockBit勒索软件成员被捕的线索。   消息来源：bleepingcomputer，译者：lune；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文